Weitere Sicherheitsstufe für E-Mail – Profi-Technologie für jedermann nutzbar

Die führenden deutschen E-Mail-Anbieter WEB.DE und GMX haben ab heute das sogenannte Ende-zu-Ende-Verschlüsselungsverfahren in ihre E-Mail-Produkte integriert. Damit können die über 30 Millionen Nutzer der beiden Dienste ihre Nachrichten erstmals so verschlüsseln, dass nur Sender und Empfänger sie lesen können.

20. August 2015 von Sebastian Schulte

Die Lösung basiert auf dem weltweit anerkannten Standard „Pretty Good Privacy“, den WEB.DE und GMX jetzt für jedermann nutzbar machen. Die neue Sicherheitsstufe für E-Mail funktioniert auf allen gängigen Endgeräten, steht allen Kunden der beiden Mail-Dienste kostenlos zur Verfügung und ist kompatibel zu allen bisherigen PGP-Anwendungen.

Verschlüsselung zum Durchbruch verhelfen

„Mit unserer Lösung kann jeder Nutzer auch ohne technische Vorkenntnisse seine E-Mails so verschlüsseln, dass nur der Empfänger den Inhalt öffnen kann. Egal ob über den Internet-Browser oder die WEB.DE und GMX App auf dem Smartphone – jetzt kann jedermann mit einer Profi-Technologie verschlüsseln, die bisher einige technische Vorkenntnis erforderte. Wir wollen damit der durchgehenden Verschlüsselung zum Durchbruch verhelfen”, sagt Jan Oetjen, Geschäftsführer von GMX und WEB.DE.

Die beiden E-Mail-Anbieter setzen auf PGP-Verschlüsselung mit der Open-Source-Software Mailvelope. Die Verschlüsselung kann auf allen gängigen Geräten eingesetzt werden. Bei der Nutzung über den Browser wird das Plug-in in die gewohnte Mail-Oberfläche von WEB.DE und GMX integriert und verschlüsselt den Mailinhalt sowie Anhänge direkt vor dem Versenden. Die WEB.DE und GMX Apps für Android- oder iOS-Smartphones bzw. -Tablets verfügen automatisch über die PGP-Erweiterung, so dass der Nutzer mit allen gängigen Endgeräten ver- und entschlüsseln kann. Auch Anlagen können auf allen Endgeräten einfach mit verschlüsselt werden, was bisher einen weiteren Zusatzaufwand darstellte.

Assistent nimmt Nutzern die PGP-Einrichtung ab

LisaundTom_final

Die GMX Grafik leitet den Nutzer durch die einzelnen Installationsschritte, bis hin zur ersten verschlüsselten Mail (Grafik: GMX)

Der Ansatz löst die drei Grundprobleme, die es bisher beim Einsatz von Ende-zu-Ende Verschlüsselung für den Nutzer gab und die Verbreitung stark beschränkte: Einrichtung von PGP, Austausch der Schlüssel und Hilfe bei Verlust des Schlüssels. Bei WEB.DE und GMX führt ein Einrichtungsassistent den Anwender in wenigen Schritten zum Versand seiner ersten verschlüsselten Mail. Nach Installation der Browser-Erweiterung wird automatisch der für PGP erforderliche private und öffentliche Schlüssel erzeugt, der jedem Nutzer eindeutig zugeordnet ist. E-Mails an einen Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt und können dann mithilfe seines geheimen privaten Schlüssels nur von ihm selbst entschlüsselt werden. Durch die einfache Übertragung der Schlüssel zwischen den Endgeräten kann der Nutzer seinen privaten Schlüssel sehr schnell auch auf sein Smartphone laden, so dass er ihn im Falle des Verlustes über eines der Geräte wiederherstellen kann.

Mit ihrem internen Public-Key-Verzeichnis bieten WEB.DE und GMX eine Lösung für ein bisher ungelöstes PGP-Problem: Wie kommt man sicher an die öffentlichen Schlüssel der anderen, und wie stellt man sicher, dass es auch die richtigen sind? Alle mit der Browser-Erweiterung erzeugten öffentlichen Schlüssel werden in einem von WEB.DE und GMX gepflegten Verzeichnis abgelegt. Mit Hilfe einer Signatur stellen WEB.DE und GMX sicher, dass die Schlüssel im Verzeichnis zu den jeweiligen Accounts passen. Die entsprechenden privaten Schlüssel kennt nur der Nutzer.

Eigenes Verzeichnis der öffentlichen Schlüssel löst bisherige PGP-Problematik

Mit der Veröffentlichung des Source-Codes und einer Überprüfung durch externe Security-Experten sorgen die Provider für Transparenz. Alle sicherheitsrelevanten Informationen wie private Schlüssel und Passwörter liegen außerhalb des Einflussbereichs von WEB.DE und GMX und können von diesen zu keiner Zeit eingesehen werden, so dass der Nutzer die volle Datensouveränität behält. Dazu gehört zum einen, dass es ihm überlassen bleibt, welche Nachrichten er verschlüsseln möchte und welche nicht. Bei aller Vereinfachung bringt Ende-zu-Ende Verschlüsselung zum anderen auch die Verantwortung des Nutzers für die Sicherheit seines Endgerätes und seinen privaten Schlüssel mit sich, denn die Verschlüsselung ist nur sicher, wenn auch das Endgerät gesichert ist.

Provider sorgen für Transparenz: Source-Code wird veröffentlicht

Zudem ist PGP eine wichtige Ergänzung des Sicherheitsstandards „E-Mail made in Germany”, auf den sich 1&1, freenet, GMX, Telekom, Strato und WEB.DE als Mailverbund geeinigt haben. Wer sein E-Mail-Konto bei einem Provider des Mailverbunds hat, schützt neben dem Inhalt der Mails auch die sogenannten Metadaten wie Absender, Adressat, Betreff, Versandzeitpunkt und vor allen auch die Tatsache, dass er PGP-verschlüsselt kommuniziert. Bei allen „E-Mail made in Germany” Providern können die Nutzer Standard-PGP-Lösungen verwenden und so Mail-Inhalt und Metadaten schützen.

Android und Apple-Nutzer können die Apps im Laufe des Tages aktualisieren, um die verschlüsselte Kommunikation auch mobil einsatzbereit zu haben.

Kategorien: Pressemitteilungen, Sicherheit

Verwandte Themen

Emotet: WEB.DE und GMX schützen Nutzer vor aktueller Phishing-Welle

Die Bedrohung durch den Trojaner Emotet hat laut BSI einen neuen Höhepunkt erreicht. Neben dem Versand der Schadsoftware als E-Mail-Anhang breitet sich der Virus jetzt auch über Phishing-Links im E-Mail-Text aus. Wer eine solche URL anklickt, kann über ein dort hinterlegtes Office-Dokument nicht nur den eigenen Rechner infizieren, sondern riskiert auch die Datensicherheit des gesamten lokalen Netzwerks. Die Systeme von WEB.DE und GMX wurden durch zusätzliche Sicherheitsmaßnahmen geschützt. mehr

Stichtag im Namen der Sicherheit

Am 11. Oktober tauscht die ICANN, die Internet Corporation for Assigned Names and Numbers, zum ersten Mal weltweit den obersten Schlüssel für das Sicherheitsverfahren DNSSEC. Mit Hilfe des so genannten Key Signing Key (KSK) wird sichergestellt, dass in der Kommunikation zwischen Servern die Namensauflösung, also die Umwandlung eines Domainnamens in eine IP-Adresse, nicht manipuliert werden kann. So ist der Datenverkehr im Internet generell besser geschützt, beispielsweise vor Man-in-the-middle-Attacken. Die Herausforderung: Zum Stichtag muss neben den Servern der Internetprovider auch jeder DNS-Server, sozusagen das „Adressbuch“ eines bestimmten Domainbereichs, der DNSSEC unterstützt, für das Schlüsselupdate richtig konfiguriert sein. Die DNS-Server von GMX und WEB.DE sind auf den Wechsel bestens vorbereitet. mehr